springboot-security笔记

最新推荐文章于 2024-05-24 20:30:45 发布
原创 最新推荐文章于 2024-05-24 20:30:45 发布 · 333 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #spring boot

本文是基于 Spring Boot 搭建项目的 Spring Security 笔记。涵盖用户和密码配置、忽略地址设置、登录失败处理、记住密码功能、自定义资源权限、HTTP 配置、自定义登录及免密登录等内容,还介绍了整合 Redis 实现 session 管理。

springboot-security笔记

目录

开始

  • 基于springboot笔记搭建项目;
  • 依赖
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
  • 编写securityConfig权限配置类继承WebSecurityConfigurerAdapter,下面步骤中配置都在这里面做配置;

用户和密码

用户信息类

public class LoginUser extends User {

    @Getter
    @Setter
    private String detail;

    public LoginUser(String username, String password, Collection<? extends GrantedAuthority> authorities) {
        super(username, password, authorities);
    }

    public LoginUser(String username, String password, boolean enabled, boolean accountNonExpired, boolean credentialsNonExpired, boolean accountNonLocked, Collection<? extends GrantedAuthority> authorities) {
        super(username, password, enabled, accountNonExpired, credentialsNonExpired, accountNonLocked, authorities);
    }
}

获取用户类

编写获取用户的Bean:UserDetailsService

@Autowired
private PasswordEncoder passwordEncoder;
@Bean
public UserDetailsService userDetailsService() {
    // todo: 从数据库查询用户和角色信息
    // 方式一
    UserDetailsService userDetailsService = new UserDetailsService() {
        @Override
        public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
            LoginUser user = new LoginUser(username, passwordEncoder.encode("1234"),
                                           AuthorityUtils.commaSeparatedStringToAuthorityList(username));
            return user;
        }
    };
    // 方式二
    /*JdbcDaoImpl userDetailsService = new JdbcDaoImpl(){
        @Override
        public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
            //自定义查询用户
            return super.loadUserByUsername(username);
        }
    };
    // 方式三:自定义查询用户与角色的sql
    userDetailsService.setDataSource(dataSource);
    // select需要有3个字段:username、password、enable
    userDetailsService.setUsersByUsernameQuery("select * from user where username=?");
    userDetailsService.setAuthoritiesByUsernameQuery("select username, role from user u, role r, user_role ur where u.id=ur.uid and r.id=ur.rid and uid=?");
    */
    return userDetailsService;
}

密码编码器

@Bean
public PasswordEncoder passwordEncoder() {
    // 使用spring security自带的
    // return new BCryptPasswordEncoder();
    // 使用自定义的
    // todo: 密码加密加盐
    return new PasswordEncoder() {
        @Override
        public String encode(CharSequence rawPassword) {
            return rawPassword.toString();
        }

        @Override
        public boolean matches(CharSequence rawPassword, String encodedPassword) {
            System.out.println("===>用户输入密码:" + rawPassword);
            System.out.println("===>数据库密码:" + encodedPassword);
            return rawPassword.equals(encodedPassword);
        }
    };
}

配置

配置用户查询方法与密码匹配器

@Autowired
private UserDetailsService userDetailsService;
@Autowired
private PasswordEncoder passwordEncoder;
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder);
}

忽略的地址

说明:一般用来配置无需权限校验的路径,也可以在HttpSecurity中配置,但是在web.ignoring()中配置效率更高。web.ignoring()是一个忽略的过滤器,而HttpSecurity中定义了一个过滤器链,即使permitAll()放行还是会走所有的过滤器,直到最后一个过滤器FilterSecurityInterceptor认定是可以放行的,才能访问。配置如下:

@Override
public void configure(WebSecurity web) {
    web.ignoring().antMatchers("/static/**");
}

登录失败处理

@Bean
public AuthenticationFailureHandler failureHandler() {
    return new AuthenticationFailureHandler() {
        @Override
        public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException {
            if (e instanceof UsernameNotFoundException) {
                System.out.println(e.getMessage());
                request.getRequestDispatcher("/loginPage?msg=用户不存在").forward(request, response);
            } else if (e instanceof BadCredentialsException) {
                System.out.println(e.getMessage());
                request.getRequestDispatcher("/loginPage?msg=用户名或密码错误").forward(request, response);
            } else {
                System.out.println(e.getMessage());
                request.getRequestDispatcher("/loginPage?msg=账号异常").forward(request, response);
            }
        }
    };
}

记住密码

用于将记住密码的信息保存到数据库,不使用该类默认会保存在cookie中

@Bean
public PersistentTokenRepository persistentTokenRepository(){
    JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl();
    tokenRepository.setDataSource(dataSource);
    //系统在启动的时候生成“记住我”的数据表(只能使用一次)
    //tokenRepository.setCreateTableOnStartup(true);
    return tokenRepository;
}

自定义资源权限

springsecurity默认只支持配置式的角色资源权限,使用不够灵活,此部分就是用于自定义角色资源权限的,如不需要,可以不配置。

权限数据源

  • 新建资源权限数据源类,用于加载资源权限;
@Component
public class MySecurityMetadataSource implements FilterInvocationSecurityMetadataSource {

    /**
     * 资源权限, key为url,value为可以访问该url的角色列表
     */
    private volatile LinkedHashMap<String, Collection<ConfigAttribute>> urlPermMap = new LinkedHashMap<>();

    private AntPathMatcher antPathMatcher = new AntPathMatcher();

    public void setUrlPermMap(){
        // todo:从数据库获取
        Collection<ConfigAttribute> perm1 = new HashSet<>();
        perm1.add(() -> "admin");
        urlPermMap.put("/admin", perm1);
        Collection<ConfigAttribute> perm2 = new HashSet<>();
        perm2.add(() -> "user");
        urlPermMap.put("/user", perm2);
        Collection<ConfigAttribute> perm3 = new HashSet<>();
        perm3.add(() -> "user");
        perm3.add(() -> "admin");
        urlPermMap.put("/info", perm3);
    }

    public MySecurityMetadataSource(){
        // 初始化资源权限
        setUrlPermMap();
    }

    // 凡是被springSecurity拦截的请求都会执行该方法
    @Override
    public Collection<ConfigAttribute> getAttributes(Object o) throws IllegalArgumentException {
        FilterInvocation fi = (FilterInvocation) o;
        String url = fi.getRequestUrl();
        // 资源权限为空,初始化资源
        for (String urlPerm : urlPermMap.keySet()) {
            if(antPathMatcher.match(urlPerm, url)){
                // 根据url返回角色集合
                return urlPermMap.get(urlPerm);
            }
        }
        // 这个url没有配权限
        return null;
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return FilterInvocation.class.isAssignableFrom(clazz);
    }
}

决策管理器

自定义决策管理器,判断是否有访问权限;

@Component
public class MyAccessDecisionManager implements AccessDecisionManager {
    @Override
    public void decide(Authentication authentication, Object o, Collection<ConfigAttribute> collection) throws AccessDeniedException, InsufficientAuthenticationException {
        // 没有角色集合时,放行
        if (collection == null || collection.isEmpty()) {
            return;
        }
        // 当前登录的用户包含当前url的角色时放行
        for (GrantedAuthority currRole : authentication.getAuthorities()) {
            for (ConfigAttribute urlRole : collection) {
                if(currRole.getAuthority().equals(urlRole.getAttribute())){
                    // 拥有权限,放行
                    return;
                }
            }
        }
        throw new AccessDeniedException("没有权限");
    }

    @Override
    public boolean supports(ConfigAttribute configAttribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return true;
    }
}

http配置

配置HttpSecurity

@Autowired
private MyAccessDecisionManager myAccessDecisionManager;
@Autowired
private MySecurityMetadataSource mySecurityMetadataSource;
@Autowired
private UserDetailsService userDetailsService;
@Autowired
private AuthenticationFailureHandler failureHandler;
@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests().antMatchers("/myLogin", "/loginNoPass").permitAll()
        .anyRequest().authenticated()
        .and().formLogin().loginPage("/loginPage").loginProcessingUrl("/login")
        .defaultSuccessUrl("/").failureHandler(failureHandler)//.failureForwardUrl("/loginPage")
        .permitAll()
        .usernameParameter("user").passwordParameter("pass")
        .and().logout().logoutSuccessUrl("/loginPage")//.logoutSuccessHandler(null)
        .and().exceptionHandling().accessDeniedPage("/deny")//.accessDeniedHandler(null)
        // 使用userDetailsService用Token从数据库中获取用户自动登录
        .and().rememberMe().tokenValiditySeconds(1800).key("token_key").userDetailsService(userDetailsService)
        .and().csrf().disable();
    // .exceptionHandling().authenticationEntryPoint((req, res, auth) -> {res.sendRedirect("/loginPage");});

    // 使用自定义url权限,则上面配置的url权限会失效
    FilterSecurityInterceptor filterSecurityInterceptor = new FilterSecurityInterceptor();
    filterSecurityInterceptor.setSecurityMetadataSource(mySecurityMetadataSource);
    filterSecurityInterceptor.setAccessDecisionManager(myAccessDecisionManager);
    http.addFilterBefore(filterSecurityInterceptor, FilterSecurityInterceptor.class);
}

上面的配置依次为

  1. 无需授权就可以访问的url
  2. 其他所有url都需要授权验证
  3. 登录页url,登录url
  4. 登录成功/失败时的跳转地址(处理方法)
  5. 登录的用户名、密码字段
  6. 退出成功的跳转地址(处理方法)
  7. 没有权限时的跳转地址(处理方法)
  8. 记住密码功能(默认保存在cookie,可以通过tokenRepository配置为保存在数据库----这对表有固定格式要求)
  9. 关闭csrf
  10. 未登录访问的处理方法,配置了该项,则第3项的登录页url跳转功能将失效;
  11. 最后4行的配置用于自定义url资源权限,即动态实现角色和url的拦截,如不需要,可以删除;

附:代码中注释掉的处理方法,主要是针对前后端分离的项目,在前后端分离的项目中,需要将跳转地址改为自定义处理方法,用于返回权限json。

到此,登录已经可以使用了,其中/loginPage为自定义的登录页面,/login为登录接口,接收userpassremember-me三个参数。

自定义登录

配置

要使用自定义登录,需要先有一个认证管理器;

@Bean
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {
    return super.authenticationManagerBean();
}

自定义登录

除了访问内置的登录接口进行登录,也可以使用下面的方法进行登录:

@Autowired
private AuthenticationManager authenticationManager;
@RequestMapping(value = "/myLogin")
public String login(String user, String pass, HttpServletRequest request, HttpServletResponse response){
    System.out.println(request.getMethod());
    if(user == null || pass == null){
        return "login";
    }
    UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(user, pass);
    try{
        //使用SpringSecurity拦截登陆请求 进行认证和授权
        Authentication authenticate = authenticationManager.authenticate(token);
        SecurityContextHolder.getContext().setAuthentication(authenticate);
        request.getSession().setAttribute("SPRING_SECURITY_CONTEXT", SecurityContextHolder.getContext());
        //记住密码功能(还需要在请求中添加参数:remember-me=true)
        RememberMeServices rememberMeServices = new TokenBasedRememberMeServices("token_key", userDetailsService);
        rememberMeServices.loginSuccess(request, response, authenticate);
    }catch (Exception e){
        e.printStackTrace();
        return "login";
    }
    return "redirect:/";
}

免密登录

某些情况下,我们可能不需要账号密码进行登录和授权,这个方法就可以做到;

@RequestMapping("/loginNoPass")
public String loginNoPass(String username, HttpServletRequest request){
    //Arrays.asList(SimpleGrantedAuthority())
    User user = new User(username, "1", AuthorityUtils.createAuthorityList("admin"));
    // 使用这个token,则不会在进行认证和授权,需要在这里完成授权
    PreAuthenticatedAuthenticationToken token = new PreAuthenticatedAuthenticationToken(user, user.getPassword(), user.getAuthorities());
    token.setDetails(new WebAuthenticationDetails(request));
    SecurityContextHolder.getContext().setAuthentication(token);
    request.getSession().setAttribute("SPRING_SECURITY_CONTEXT", SecurityContextHolder.getContext());
    return "redirect:/";
}

用户信息

用户信息一般可以在SecurityContextHolder中获取

@RequestMapping("/info")
public String info(Model model, HttpServletRequest request){
    // request.getUserPrincipal()与SecurityContextHolder.getContext()返回值相同
    // 第一行能获取到LoginUser, (这里强转为UsernamePasswordAuthenticationToken的父类,避免不同登录方式会报错的问题)
    model.addAttribute("data", "loginUser: ===>" + ((AbstractAuthenticationToken) request.getUserPrincipal()).getPrincipal() +
                       "\nremoteUser: ===>" + request.getRemoteUser() +
                       "\ncontext: ===>" + SecurityContextHolder.getContext().getAuthentication().getName());
    return "index";
}

redis

springsecurity使用的session来管理认证信息,要整合redis只需要使用redis session即可,步骤如下:

  • 依赖
<dependency>
    <groupId>org.springframework.session</groupId>
    <artifactId>spring-session-data-redis</artifactId>
</dependency>
  • 配置
# 使用redis session
spring.session.store-type=redis
  • 启动类添加注解@EnableRedisHttpSession

此时,不仅仅springsecurity使用了redis,就是我们代码中使用的普通session也会存入redis,此时,就可以通过nginx进行负载均衡了。

postman 联调 spring security
xxy41092的博客
12-19 763
spring secur 默认开启阻止csrf的攻击,如果我们用spring mvc架构的话,这点很好解决,但是如果我们不用spring mvc做前后端分离的话,问题就很多了 网上有很多教程,拼来拼去来回改都吐了 https://blog.csdn.net/u012702547/article/details/106206339/这篇还是挺有效的 但是看csdn不如跑去翻文档 我们来到spring security的文档 第14节Protection Against Exploits 给出了..
springboot-guides:springboot文档学习笔记
02-13
在"springboot-guides"的学习笔记中,我们可以深入探讨以下几个核心知识点: 1. **起步依赖(Starters)**: SpringBoot通过起步依赖来简化Maven或Gradle的配置,每个起步依赖都是一个包含相关依赖的模块集合,如...
SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证
emprere的博客
10-05 474
.说明SpringSecurity是一个用于Java 企业级应用程序的安全框架,主要包含用户认证和用户授权两个方面.相比较Shiro而言,Security功能更加的强大,它可以很容易地...
archive log list权限不足_Spring Security(五):前后端权限控制详解
weixin_39633165的博客
11-21 617
文章回顾:Spring Security(一):整合JWT实现登录功能Spring Security(二):获取用户权限菜单树Spring Security(三):与Vue.js整合Spring Security(四):更新前端路由获取方式1、每次请求时,都会带有token,Spring Security会根据token判断用户信息,进行授权。2、对于接口权限的控制,我们可以用过使用Spring...
如何使用postman测试springsecurity的代码
Geek_Dream
05-24 5540
使用postman测试SpringSecurity的其它接口获取Cookie拿到我们的cookie之后如何在postman中使用? 获取Cookie 我们需要首先启动我们的程序,然后我们使用浏览器[最好是google]打开我们的springsecurity输入账号密码进行登录,我们打开F12查看我们的cookie 这里选择我们的Network然后点击登录,之后我们需要选择前面一段,找到我们访问的地址 不用在乎我这个名字,我这里访问的就是退出链接,这里只是你的controller接口的路径而已,点击打开我
Spring boot框架下的Builder
wjval的博客
11-23 1397
Spring框架的建造者模式实例: SpringApplicationBuilder BeanDefinitionBuilder
SpringBoot-登录认证-黑马程序员学习笔记
05-21
总的来说,"SpringBoot-登录认证-黑马程序员学习笔记"涵盖了Spring Security的基本用法,包括如何启用、自定义登录页面、认证逻辑以及权限控制。通过阅读源码和实践,开发者可以更深入地理解Spring Security的工作...
Timlong-SpringBoot-实战开发笔记.zip
02-22
这个"Timlong-SpringBoot-实战开发笔记"包含了作者在学习Spring Boot实战开发过程中的经验总结和遇到问题的解决方案,旨在帮助开发者更好地理解和应用Spring Boot。 1. **Spring Boot基础知识** - Spring Boot...
SpringBoot-Study--master.zip
07-17
1. **源代码示例**:展示了如何创建SpringBoot项目,包括RESTful API、数据库交互、模板引擎(如Thymeleaf)、安全控制(Spring Security)等。 2. **笔记文档**:可能包含狂神老师的讲解要点、关键概念解释、最佳...
Springboot开发-demo笔记
05-28
在"Springboot开发-demo笔记"中,我们可以预见到一系列关于如何使用 Spring Boot 进行实际项目开发的实践记录。这可能包括以下几个关键知识点: 1. **起步依赖(Starters)**:Spring Boot 的核心特性之一是起步...
Spring Security】Postman调用时无授权与CSRF验证
锥栗的博客
05-16 2238
Spring Security 是一个强大的、高度可定制的 Java 安全框架,它为基于 Spring 的应用程序提供了全面的安全服务和解决方案。
SpringBoot --- @Builder 注解
yuanchenglong的博客
03-11 2401
@Builder public class Card{ private int id; private String name; private boolean sex; } Card card = Card.builder().id(10).name("ad").sex(true).build(); // 代替了 set方法
Spring Boot 中的 Builder 模式
04-23 1028
Spring Boot 中的。
SpringBoot的建造者模式@Builder快速创建实例
weixin_50861894的博客
08-01 1148
2023/07/31。
SpringBoot之@Builder 注解
m0_62986746的博客
05-24 1030
(2)有时候将@Builder 和 @Data 搭配使用,以为是一个很好的搭配,导致生成的构造器是可变的,它允许使用 setter 方法修改构造器的状态。不了解底层的@Builder而去使用可能会出现奇奇怪怪的问题,使用大神封装好的东西是这样子的,在出现问题时我们就可能回去分析源码,故而知道问题所在,大家加油学习,这个内容我也是学习了大神的作品才知道的。(1)@Builder 生成的构造器不是完美的,如果没有提供必须的参数,构造器可能会创建出不完整或者不合法的对象,导致代码报错。
Springboot Security 有关postman访问401的问题
清的博客
05-20 950
还有一个困扰我4-5个小时的问题,因为我是刚学springboot,没有想到SecurityConfiguration是要在主运行文件也就是xxxxxxApplication一个包内的,不然就上边那行代码就会失效。主要问题是csrf的问题,这个是防止跨站请求伪造攻击的,目前高版本securitys是默认开启的,需要关闭。
SpringBoot】Builder 构建器构造类对象
小秀的博客
01-03 659
【代码】【SpringBoot】Builder 构建器构造类对象。
Postman测试 - SpringSecurity用户名和密码认证访问后台请求
你今天真好看呀
08-11 5255
Postman测试SpringSecurity用户名和密码认证访问后台请求。
7.lombok插件
qq_39393387的博客
10-01 344
lombok插件 在maven中添加依赖 <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> </dependency> 使用 直接在相应的实体类上加上@Data注解即可; @Data : 注在类上,提供类的get、set、equals、hashCode、canEqual、toString方法 @AllArg
狂神springboot笔记security
最新发布
03-17
#### 学习笔记概述 Spring Security 是一个强大的框架,专注于为 Java 应用程序提供认证和授权功能[^3]。通过集成到 Spring Boot 中,开发者能够快速实现安全机制而无需手动编写大量冗余代码[^4]。 以下是基于提供...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值